Suomen Yrittäjäopiston tietohallintopäällikön Heikki Syrjälän luentomateriaali koskien tietosuoja-asetusta. Materiaalia käytetty yrittäjäjärjestöjen tilaisuuksissa ympäri Suomen huhtikuussa 2018.

1. HSy 2018
Tietosuoja-asetus
Yleinen
1

2. HSy 2018
Tietosuoja-asetus – Yleistä
o Tietosuoja-asetukseen liittyvissä tilaisuuksissa tulee usein
tuntuma, että asetuksella pyritään jopa pelottelemaan.
o Kun pelottelu on saatu hyvään alkuun, tehdään asiasta
ahdistavampi vieraskielisillä tai muuten hankalilla termeillä,
kuten vastustamisoikeus, privacy policy, accountability…
o Kun pelottelussa halutaan mennä uudelle tasolle,
nykäistään hihasta ne poikkeuksellisen isot sanktiot.
o Tätä tietosuoja ei kuitenkaan ole…
2

3. HSy 2018
Tietosuoja-asetus – Yleistä
o Ota tietosuoja tosissasi, mutta älä liian vakavasti.
• Lue asiasta, valistu ja viisastu: asetus ei sinällään ihmeitä
vaadi.
• Jos asia vaikuttaa liian isolta tai hankalalta, projektoi
ja/tai ulkoista se (vastuuta ei voi kuitenkaan ulkoistaa).
o Älä ota käyttöön ”pelkkää asetusta”. Jos ja kun se edellyttää
tekemistä ja toimintoja, kehitä niitä samalla!
• Tietosuoja on ensisijaisesti dokumentointia, sopimuksia,
prosesseja ja toimintatapoja.
3

4. HSy 2018
Tietosuoja-asetus – Yleistä
o Tietosuoja EI ole sama asia kuin tietoturva. Tietoturva on
yksi väline tietosuojan toteutukseen, loppu tapahtuu
pääosin korvien välissä ja dokumentoimalla.
o Tietosuoja ei ole yhden ihmisen asia ja vastuu: vastuu
jakautuu organisaatiossa, jollei kaikille, niin laajemmalle.
o Maalaisjärkeä saa ja pitää käyttää.
• Isännöitsijäyrittäjän ei kannata repiä niitä asukas- ja
saunavuorolistoja ilmoitustauluilta pois.
• …mutta näihin listoihin ei kannata sisällyttää sitä, kenen
kanssa Matti mielellään saunoo, mikä on Matin osoite ja
minkä ammattiliiton vuorolla Matti saunoo.
4

5. HSy 2018
Talouselämä 7.2.2018
Tivi 7.2.2018
Tivi 09/2017
Tivi 10/2017
Kotimikro.fi
Yle.fi-uutiset 12/2017
HS: 6.4.
TIVI 5.2.2018
Viestintavirasto.fi
Aamulehti 05/2017
Tietoturvalle on tarvetta….
5
Tivi 6.2.2017

6. HSy 2018
Tietosuoja-asetus – Taustaa
o Yleinen tietosuoja-asetus, (GDPR; General Data Protection
Regulation), asettui voimaan pitkän taipaleen jälkeen 24.5.2016.
o Asetus tulee jäsenvaltioissa sovellettavaksi 25.5.2018 alkaen,
joten olemme vielä pienen hetken siirtymävaiheessa.
• Asetuksella kumotaan ns. EU:n henkilötietodirektiivi, joka on
Suomessa pantu täytäntöön henkilötietolailla.
o Jäsenvaltioilla on mahdollisuus säännöksiä täsmentävään ja
tarkentavaan lainsäädäntöön, ainakin jossakin määrin.
• GDPR ei voi olla ristiriidassa kansallisen lainsäädännön kanssa,
joten erillislait huomioidaan GDPR:n soveltamisessa.
• Nykyinen, kansallinen lainvalmistelu, on valmisteilla.
6

7. HSy 2018
GDPR ei (ehkä) jää yksin…
o Yleinen tietosuoja-asetus soveltuu lähes kaikkeen
henkilötietojen käsittelyyn toimiala- ja
teknologiariippumattomasti.
o Uusi ehdotus nimeltä ePrivacy koskee yksityiselämän ja
henkilötietojen suojaamisesta sähköisessä viestinnässä ja se
tarkentaa tietosuoja-asetusta.
o Ehdotus on GDPR:ää rajatumpi ja koskee pääsääntöisesti
sähköisiä viestintään ja mainontaan liittyviä palveluita ja
niitä tarjoavia organisaatioita/yrityksiä.
• Suoramarkkinointi, puhelinmyynti, evästeet…
7

8. HSy 2018
Miksi GDPR määriteltiin?
o Isot ajatukset ensin…
o Yhdenmukaistaminen eli EU:n jäsenvaltioiden lakien
harmonisointi.
• Laki on sama kaikissa jäsenvaltioissa.
o Laki on laaja ja teknologiariippumaton eli se huomioi myös
tulevaisuuden tekniikat: vastaveto monimutkaistuvalle datan
käsittelylle, uudelle datalle ja sen käyttökohteille.
o Valvonnan tehostus ja sanktioiden tarkempi määrittely.
• Esim. Suomessa on nykyisin käytössä vain
tietosuojavaltuutetun nuhtelu tai uhkasakko, jota ei ole
ilmeisesti koskaan käytetty.
o Kv-liiketoiminnan ja EU:n digitaalisten markkinoiden
parantaminen (sisämarkkinoiden lujittaminen).
8

9. HSy 2018
Miksi GDPR määriteltiin?
o Entäpä sitten se tärkein: pieni ihminen (yksilö)?
o Tietosuoja on perusoikeus. Euroopan ihmisoikeussopimus, 8
artikla:
”Jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä,
kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta.”
o Tavoitteena on yksilön oikeuksien vahvistaminen ja
oikeuksien laajentaminen.
o Asetus pyrkii varmistamaan kuluttajien luottamuksen datan
käsittelyyn.
o Nykyinen henkilötietolaki määrittää samoja asioita, mutta
nyt oikeuksia tarkennetaan ja vahvistetaan merkittävästi.
9

10. HSy 2018
Yksilön oikeudet (lista on pitkä)
o Oikeus saada läpinäkyvää informaatiota
o Oikeus saada pääsy tietoihin (tarkastusoikeus)
o Oikeus tietojen oikaisemiseen (virheen oikaisu)
o Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
o Oikeus käsittelyn rajoittamiseen
o Oikeus siirtää tiedot järjestelmästä toiseen (ilman kustannuksia)
o Vastustamisoikeus
o Automatisoidut yksittäispäätökset (viranomaiset) ja profilointi
o Oikeus tulla informoiduksi henkilötietojen tietoturvaloukkauksista
o Lasten erityisasema
o Oikeus saada valvontaviranomaiselta apua
o Oikeus luottaa tietoturvaan
10

11. HSy 2018
Tietosuoja-asetuksen termejä
o Henkilötieto
• Mikä on ylipäätään henkilötietoa? Tietosuoja-asetus ei
määrittele yksiselitteisesti, mikä on henkilötietoa.
o Käytännössä kaikki henkilöä yksilöivä tieto on henkilötietoa.
Siis tiedot, joiden avulla rekisteröity henkilö voidaan
suoraan tai epäsuorasti tunnistaa tai profiloida. Esimerkiksi:
• Nimi, osoite, henkilötunnus...
• Sijaintitieto, verkkotunnisteet (IP-osoite, evästeet tms.)
• Sosioekonomiset tekijät, jäsenyydet puolueissa/liitoissa
• Terveystiedot, fyysiset ja geneettiset tekijät
11

12. HSy 2018
Henkilötiedon tarkennuksia
o Erota toisistaan henkilötieto ja arkaluonteinen henkilötieto
• ”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai
etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai
filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön
yksiselitteistä tunnistamista varten tai terveyttä koskevien
tietojen taikka luonnollisen henkilön seksuaalista
käyttäytymistä ja suuntautumista koskevien tietojen käsittely
on kiellettyä.”
o Arkaluonteisen tiedon käsittelyyn on lukuisia soveltamisohjeita,
joista osa hyvinkin ”luonnollisia”.
o Lasten henkilötiedot ovat erityisasemassa.
• Mikä on lapsen ja täysikäisen raja? Laki puhuu yleisesti ottaen
alle ja yli 16-vuotiaista.
12

13. HSy 2018
Tietosuoja-asetuksen termejä
o Henkilötietorekisteri
• Henkilötiedoista koostuva kokonaisuus (tiedosto, lista,
luettelo, kortisto, tietokanta…), jota käsitellään tietoteknisesti
tai kokonaisuus, jonka tietoja yhdistelemällä henkilö
(rekisteröity) voidaan yksilöidä ja tunnistaa.
o Rekisteröity
• Rekisterissä oleva tunnistettava tai tunnistettavissa oleva
luonnollinen henkilö.
o Rekisterinpitäjä
• Luonnollinen henkilö, yhteisö, virasto, säätiö tai joku muu,
jonka käyttöä varten henkilörekisteri on perustettu (tai
perustetaan) ja jolla on oikeus määrätä henkilörekisterin
käytöstä = määrää henkilötietojen käsittelyn tarkoituksen ja
keinot.
13

14. HSy 2018
Tietosuoja-asetuksen termejä
o Käsittelijä
• ”Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu
elin, joka käsittelee henkilötietoja rekisterinpitäjän
toimeksiannosta.”
• Sama suomeksi ja yritysnäkökulmasta: esim. alihankkija,
kuten tietotekniikan palveluntarjoaja, jonka pilvipalveluihin
tiedot on tallennettu.
• Organisaatiossasi henkilötietoja käsittelevät työntekijät,
esimerkkinä henkilöstöpäällikkö (henkilöstön tiedot),
opintokoordinaattori (opiskelijoiden tiedot), myyntipäällikkö
(asiakastiedot), käsittelevät tietoja rekisterinpitäjän
näkökulmasta.
o Uuden asetuksen myötä henkilötietojen käsittelijän on, ainakin
teoriassa, huolehdittava siitä, että asetusta noudatetaan.
14

15. HSy 2018
Sanktiot, jos tapahtuu ”jotakin”
Rekisteröidyllä on oikeus saada korvausta
rekisterinpitäjältä tai henkilötietojen
käsittelijältä tietosuoja-asetuksen mukaisesta
vahingosta:
• Rekisterinpitäjällä on huomattavan kova vastuu
• Henkilötietojen käsittelijällä on toissijainen
vastuu
15

16. HSy 2018
Ketä tai mitä GDPR koskettaa?
o Koskeeko tietosuoja-asetus pientä yritystäni? Pitääkö
jokaisen yrittäjän ja yhteisön (esim. urheiluseura) tehdä
jotakin?
• Jos organisaatio käsittelee henkilötietoja
tunnistettavassa ja yhdisteltävässä muodossa, koskettaa
GDPR myös niitä, koosta ja laajuudesta riippumatta.
• Asetus on laajakirjoinen ja henkilötiedon käsite samoin.
o Huomioi, että sana henkilötieto, ja täten myös tietosuoja-
asetus, ulottuu asiakkaiden henkilötietojen lisäksi myös
sidosryhmien tietoja koskevaksi: omat työntekijät,
alihankkijat, ulkoistetut palvelut, videovalvonta…
16

17. HSy 2018
Pääseekö joku pälkähästä?
o Organisaatiot, joilla ei ole rekistereitä ollenkaan tai rekisteritieto ei
sisällä henkilötietoa.
• Jos organisaatiolla on vain paperirekistereitä, ulottuu GDPR myös
niihin. Tällöin lukitukset ja muu fyysinen suojaus korvaa sähköisen
suojauksen.
o Asetusta sovelletaan rajoitetusti, jos tarkoituksena on esim. taiteellisia
tai toimituksellisia syitä (tms.).
o Muutama muu:
• Jos henkilötietojen käsittelyä suorittaa yksityishenkilö (luonnollinen
henkilö) henkilökohtaisiin tai niihin rinnastettaviin tavanomaisiin
yksityistarkoituksiin
• Jos henkilötiedon kohde on kuollut.
o Muiden lakien soveltamista näihin jatketaan, vaikka GDPR ei niihin
ulottuisikaan.
17

18. HSy 2018
Voiko olla tekemättä mitään?
o Ok, yritykseni on tietosuoja-asetuksen alainen. Riittääkö, jos
en/emme tee mitään, sillä ovathan asiat aikaisemminkin
sujuneet ja mitään ei ole tapahtunut?
• Tähän kysymykseen ei voi vastata suoraan kyllä tai ei.
o Ensinnäkin: organisaatiot ovat henkilötietolain alaisia jo nyt.
Vanha laki on kattava, joten kaiken pitäisi olla jo valmiiksi
melko lailla paketissa eli valmistautuminen ei vaadi suuria
ponnistuksia.
• On sitten eri asia, missä määrin asia on etukäteen
huomioitu.
18

19. HSy 2018
Osoitusvelvollisuus
o Ennen riitti, että vakuutti toimivansa lain mukaan. Nyt sama asiaa
pitää voida tarvittaessa myös todistaa  osoitusvelvollisuus
(joskus puhutaan myös tilivelvollisuudesta).
o Osoitusvelvollisuus on moniulotteinen käsite.
• Organisaation tulee pystyä osoittamaan dokumentein mm.
tiedon keräämiseen, käyttöön (prosessit), säilytykseen ja
tiedon käsittelyyn sisältyvien riskien hallinta ja kontrollointi.
• Rekisteröidyn henkilön lisäksi myös valvontaviranomaisilla on
oikeus dokumenttien tarkastukseen.
19

20. HSy 2018
Rekisteröidyn oikeudet (1)
o Tiedon keräämiseen ja käsittelyyn on oltava aina
oikeusperuste.
• rekisteröidyn oma suostumus
• sopimusperuste (esim. asiakas- tai opiskelusuhde)
• lakisääteinen peruste
• henkilön etujen suojeleminen
o Tietoa kerätään tiettyä, laillista tarkoitusta varten. Myös
käsittelyn tulee olla laajuudeltaan vastaavanlaista.
20

21. HSy 2018
Rekisteröidyn oikeudet (2)
o Kerättyä tietoa on käsiteltävä luottamuksellisesti ja
turvallisesti.
o Käyttötarkoitukseen kerätään vain tarpeellinen määrä
tietoa.
o Tieto on päivitettävä tarvittaessa. Virheelliset tai epätarkat
henkilötiedot on joko poistettava tai korjattava.
o Tietoa säilytetään niin kauan, kuin se oikeusperusteen
mukaan tarpeellista. Säilytysajasta tulee tiedottaa
rekisteröidylle henkilölle.
Koko tämä osuus voidaan osoittaa rekisterien tietosisällön ja
käytön dokumentoinnilla.
21

22. HSy 2018
Tiedonkeruuprosessi (esimerkki)
22

23. HSy 2018
Rekisteröidyn oikeudet ja tiedotus
o Rekisteröidyllä henkilöllä on oikeus pyytää henkilötietonsa
tarkistettavaksi, korjattavaksi, siirrettäväksi ja poistettavaksi.
• Onko tähän luotettava ja toimiva menettelytapa?
• Sovelletaanko myös muita lakeja eli voiko tietoja noin vain
esim. poistaa?  Arkistolaki, Verolaki, Kirjanpitolaki jne.
o Tietojen käsittelystä, käyttötarkoituksesta, suojaamisesta ja
säilytyksestä on kerrottava selkokielisellä, yksinkertaisella ja
läpinäkyvällä tavalla.
• Tyypillinen ja helppo tapa tähän on tietosuojaseloste
verkkosivustolla.
• Edellä mainitun lisäksi tulee mainita tietojen siirtämisestä ja
luovuttamisesta sekä vastuukysymyksistä, mikäli tietoa
säilytetään ulkopuolisen käsittelijän järjestelmissä.
23

24. HSy 2018
Osoitusvelvollisuus – riskit
o Riskiperusteinen lähestymistapa
• Organisaation tulee tehdä tietoturvaan ja -suojaan liittyvien
riskien tunnistaminen ja niiden seurausten arviointi ja
mahdollinen kontrollointi- ja toimenpidesuunnitelma riskien
minimoimiseksi.
o Mikäli kohdeorganisaatio on pieni, on todennäköistä, että myös
riskit ovat pieniä. Tällöin myös dokumentointi, valmistautuminen
ja riskien kontrollointi on selvästi kevyempää kuin suuremmilla
toimijoilla.
o Jos rekistereissä ei ole henkilötietoa tai tieto on ”toisarvoista”,
riittää harkinnan jälkeen pelkkä toteaminen, ettei riskejä ole.
24

25. HSy 2018
Ilmoitusvelvollisuus
o Mikäli organisaatiossa tapahtuu ns. tietovuoto tai tällaisesta
on selkeä epäilys, pitää tästä ilmoittaa
valvontaviranomaiselle 72 tunnin kuluessa havainnosta.
o Mikäli asiasta ei ilmoita, voi viivyttely johtaa hallinnolliseen
sakkoon.
25

26. HSy 2018
Mistä aloitan?
o Tietosuojavaltuutetun toimisto (tietosuoja.fi): Miten
valmistautua EU:n tietosuoja-asetukseen?
o Katso videoita ja opi (arjentietosuoja.fi)
o https://fakta.tietosuojamalli.fi/ - valittuja sisältöjä ja GDPR:n
avaamista tarkemmin
o Opsec Oy (yhteistyökumppanimme):
www.tietosuojakuntoon.fi
o EU-tietosuojan kokonaisuudistus (VAHTI-raportti)
26

27. HSy 2018
Miten aloitan? Lähtötilanne
o Jos käytössäsi ei ole rekistereitä ollenkaan, ei tällä hetkellä ole
mitään suojattavaa  ei toimenpiteitä (toteaminen riittää)
• Muista, että myös tiedostot ja paperilistat ovat rekistereitä, jos
niissä esiintyy tunnistettavaa ja yhdisteltävää henkilötietoa.
o Jos toimintasi on pienimuotoista ja/tai rekistereitä on vähän, ei
kovin suuriin projekteihin kannata ryhtyä. Voi olla, että pelkkä
asioiden toteaminen ja pienen pieni dokumentointi riittää tässäkin
tapauksessa (=asiaa on ainakin pohdittu etukäteen).
o Vielä kerran: valista itseäsi (kuten parasta aikaa teetkin) ja lue lisää
tietosuoja-asetuksesta – myös itsesi eli luonnollisen henkilön
kannalta.
o Jos käsittelet arkaluonteista tietoa, kysy neuvoa osaavalta taholta.
27

28. HSy 2018
Miten aloitan? Henkilörekisterit
o Mieti roolisi: oletko rekisterin ylläpitäjä, käsittelijä vai peräti
molempia?
o Listaa ja dokumentoi ensin esim. sopivan lomakkeen avulla
tietojärjestelmät ja henkilörekisterit, joissa käsittelet
henkilötietoa.
o Älä turhaan dokumentoi yleisiä tietojärjestelmiä (listata ne
toki voi), joissa ei käsitellä henkilötietoa. Jos järjestelmä
liittyy välillisesti henkilötiedon käsittelyyn asiaan, mieti vähän
tarkemmin.
28

29. HSy 2018
Miten jatkan? Rekisteridetaljit
o Kun henkilörekisterit on listattu, mieti muutama asia:
• Tiedon kulkeminen ja siirtyminen: siirrelläänkö sitä
rekistereiden välillä esim. asiakastietokannasta Excel-
dokumentteihin.
• Liikkuuko data talon sisällä tai ulos (esim. Googlen tai
Microsoftin pilvipalveluun, maksupalveluihin,
sähköpostiin, viranomaisille…) eli ns. käsittelijätahoille.
• Luovutetaanko tietoa sellaisenaan tai osittain
kolmannelle osapuolelle prosessoitavaksi?
(esim. viranomaistahot Trafi ja Väestörekisterikeskus
myyvät tietoja ;)
29

30. HSy 2018
Miten jatkan? Rekisteridetaljit
o Listaa tallennetut asiat ja mieti niiden oikeusperuste ja
kohtuullisuus:
• Keräätkö vain minimimäärän tietoa ja keskitytkö olennaiseen?
Ainakin jatkossa näin kannattaa tehdä.
• Millä perusteella (asiakassuhde, muu sopimussuhde, laki…)
keräät tietoa?
• Mikä on tiedon keräämisen alkuperäinen käyttötarkoitus:
toteutuuko vai ylittyykö se nykykäytössä?
• Entä tiedon vanhentuminen? Onko se linjassa
käyttötarkoituksen kanssa? Tietävätkö rekisteröidyt tämän?
30

31. HSy 2018
Esimerkki rekisterilistauksesta
31
Verkkokaupan asiakasrekisteri. Rekisterinpitäjän rooli. Yrityksen kaksi työntekijää
käsittelevät tietoa rekisterinpitäjän roolissa.
Nimi, osoite, henkilötunnus, puhelinnumero, sähköpostiosoite. Lisäksi profiloitu
ostajan päätuoteryhmät ja kiinnostusalueet.
Tietokanta on ulkoistettu ABC:n verkkoalustalle. ABC on täysin GDPR-yhteensopiva (linkki
tietosuojaselosteeseen). Sopimuskäytäntö on päivitetty 21.3.2018.
Viikko- ja kuukausiraportointia Excel-muodossa ensin omille tietokoneille ja ABC:n pilvipalveluun.
Asiakasdatan siirto sähköpostimarkkinoinnin takia palveluun MailABC. Maksupalvelu PayABC kautta.
Käyttäjän antamia tietoja ei muuten luovuteta kolmansille osapuolille missään tilanteessa.
Verkkokaupan myyntiprosessi, markkinointi asiakkaille, tiedotus asiakkaille, raportointi
Sopimussuhde asiakkaan ja myyjän välillä. Asiakas hyväksyy tietojen tallennuksen.
Rekisteriin ei tallenneta erityisryhmien dataa. Ikäraja on 18 vuotta.
Taulukon lähde: Opsec Oy (www.opsec.fi)

32. HSy 2018
Tietojen kerääminen, siirrot ja
säilytys
32
Taulukon lähde: Opsec Oy (www.opsec.fi)

33. HSy 2018
Miten jatkan? Riskikartoitus
o Kun olet saanut rekisterit saraketietoineen dokumentoitua,
mieti millaisia riskitilanteita tietoon voi liittyä ja miten riski
voi konkretisoitua.
o Mieti asioita aina rekisteröidyn henkilön kautta ja ”jäljitä
aina reitti” (syy-seuraus-suhde) luonnolliseen henkilöön
asiaa ajatellessasi. Keskity henkilötietoon ensisijaisesti (riski
rekisteröidylle henkilölle), muuhun tietoon toissijaisesti
(riski omalle liiketoiminnalle).
o Kartoituksessa riskit voivat olla hieman
epätodennäköisiäkin: vaikutus kun voidaan arvioida
tarkemmin hieman myöhemmin (tämähän on vain
kartoitusvaihe).
33

34. HSy 2018
Miten jatkan? Riskikartoitus
o Voiko tieto kadota tai hukkua konerikon tms. takia?
o Onko tietoliikenneyhteys katkoton? Voiko se katketa?
o Voiko tieto joutua vääriin käsiin tai voidaanko sitä ”lukea”
liian laajasti (käyttöoikeudet)?
o Varkaudet, unohtamiset, tulipalot?
o Voidaanko tieto joutua poistamaan/vanhentamaan
pyynnöstä? Mitä tähän sanoo esim. arkistolaki?
o Onko asiakasdata kerätty siten, että se kestää aikaa ja onko
asiakkailta tähän lupa?
o Muuta, mitä?
34

35. HSy 2018
Miten jatkan? Riskianalyysi
o Riskien kartoitus antaa suhteellisen hyvän kuvan haasteista, jotka
voivat kohdistua omaan liiketoimintaan ja sen katkottomuuteen.
o Voiko katoamisesta, varastamisesta tai vuotamisesta syntyä
rekisteröidyille henkilöille peräti taloudellista seurausta?
• Identiteettivarkaudet sotun ja muiden tietojen kautta?
• Arkaluonteisten tai intimiteettisuojaan kuuluvien tietojen
päätyminen vääriin käsiin?
o Oma liiketoiminta
• Mainetappio yritykselle, ”someraivo”, korpioikeus kylillä.
• Ongelmat kassavirralle, laskutukselle ja jopa liiketoiminnan
jatkuvuudelle.
35

36. HSy 2018
Riskikartoitus ja varautuminen
36
Verkkokaupan tietojen
vuotaminen vääriin
käsiin.
Verkkokauppa-alustan
tietomurto.
Saman salasanan
käyttö muissa
palveluissa.
Mahdollisuus
identiteettivarkauteen
(taloudellinen riski)
Alustatoimittajan
vahva tietoturva.
Minimoitu datan
kerääminen.
Ei-pakotettu sotun
syöttö.
Taulukon lähde: Opsec Oy (www.opsec.fi)

37. HSy 2018
Miten jatkan? Toimenpiteet
o Varautumisen ja toimenpiteiden dokumentointi 
osoitusvelvollisuus.
o Tietojen keräämisen minimointi, oikeusperusteen ja
käyttötarkoituksen läpinäkyvä kuvaaminen,
käyttöoikeuksien tarkentaminen.
o Oman yrityksen ja asiakkaiden välisten sopimusten
tarkistaminen.
o Yrityksen ja sen alihankkijoiden ja ulkopuolisten
datakäsittelijöiden (tietoteknisen toimittajat tms.) välisten
sopimusten viilaaminen (ovat ehkä jo näin tehneetkin).
37

38. HSy 2018
Miten jatkan? Toimenpiteet
o Teknisten valmiuksien (tietoturvan) parantaminen.
• Haittaohjelmasuojaus, palomuurit, salaukset, päivitykset
• Varmuuskopiointi
• Työkoneet eroon siviilikoneista, pääkäyttöoikeudet pois
• Kaksivaiheinen tunnistautuminen kriittisiin palveluihin (multi-
factor authentication)
• Mobiililaitteiden suojaukset ja salaukset
o Tietosuojaselosteet esim. web-sivuille ja tiedonkeruulomakkeille.
o Ilmoitukset muutoksista ja tietojen käytöstä rekisteröidyille, jos
tarpeen.
o Prosessit/lomakkeet tietojen muuttamis- ja poistamispyyntöihin.
o Ja muita vastaavia asioita, mitä nyt ikinä nouseekin esille
kartoitusvaiheen selvitysten perusteella.
38

39. HSy 2018
39
Esimerkki: Tietosuojaselosteita ja ilmoituksia evästeiden käytöstä

40. HSy 2018
40
Esimerkki: Tiedon poisto- ja tarkastuspyyntölomakkeet

41. HSy 2018
Käytännön toimet 05/18 mennessä
o Tietojärjestelmien ja kerättävien henkilötietojen kartoitus, analysointi ja
dokumentointi.
o Kuvaus tiedonsiirron prosesseista sisäisessä ja ulkoisessa käytössä (sis.
Tietopyyntö, Poistopyyntö)
o Riskien kartoittaminen ja toimenpiteiden kirjaaminen.
o Arkistointi- ja/tai tietojen vanhentumissuunnitelma.
o Teknisten tietoturvamenetelmien käyttäminen ja dokumentointi (tietoturva
on väline tietosuojassa).
o Sopimuskäytäntöjen ja sopimusten läpikäynti.
o Perehtymistä ja kouluttautumista tietosuojaan (työntekijöiden
perehdyttäminen muun muassa).
o Rekisteröityjen henkilöiden informointi ja mahdollinen
uudelleenrekisteröinti.
o Mahdollisten poikkeamien hallinta ja hoitamissuunnitelma.
o Tietosuojavastaavan nimitys, jos tarpeen.
41

42. HSy 2018
Miten jatkan? Isommat kuviot
o Jos rekistereitä on paljon, data on moniulotteista ja ehkä
myös arkaluonteista, kannattaa toimeen ryhtyä
projektinomaisesti:
42

43. HSy 2018
Keskeisiä asioita – pikakiteytys
o Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista
periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja
rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla:
• käsittelyn lainmukaisuus
• kohtuullisuus ja läpinäkyvyys
• käyttötarkoitussidonnaisuus/oikeusperuste
• tietojen minimointi
• tietojen täsmällisyys
• tietojen säilytyksen rajoittaminen
• tietojen eheys ja luottamuksellisuus
• rekisterinpitäjän osoitusvelvollisuus
• rekisterinpitäjän ilmoitusvelvollisuus
o Lyhyesti: Rekisteröidyn oikeudet tarkentuvat merkittävästi (eivät
välttämättä lisäänny) ja rekisterinpitäjän velvollisuudet vastaavasti kasvavat.
43

44. HSy 2018
Kysymyksiä lopuksi
o Olet ulkoistanut asiakastietosi Microsoftin O365-pilvipalveluun.
Microsoft on tässä tapauksessa ___________________?
o Yrityksen palkanlaskija maksaa palkan ulkopuoliselle työntekijälle
hyödyntäen taloushallinnon tietokantajärjestelmän henkilö- ja
maksatustietoja. Hänen roolinsa on _________________?
o Pekka Perinteinen kokoaa lähisuvustaan omaa, henkilökohtaista
tietokantaansa (nimi, tunnettu osoite, kuvaus jne) aikaväliltä
1845 - 2018. Saako Pekka julkaista sukurekisterin nettisivulla?
o Siirrät asiakkaiden henkilötietoja yrityksen asiakastietokannasta
Excel-taulukkoon. Taulukko on siis tietosuojan alainen
henkilörekisteri?
o Henkilötunnus on arkaluontoinen tieto?
44